8月10日,异构跨链协议PolyNetwork遭到攻击,损失达到6.1亿美元,包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊,6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC,8,500万USDC转至Polygon。
PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。
报告:黑客在2023年Q1的40次攻击中从窃取了约4亿美元:金色财经报道,TRM Labs在一份新报告中表示,黑客在2023年前三个月的40次攻击中从加密项目中窃取了约4亿美元。这比2022年第一季度下降了70%。黑客的平均规模也变小了,从2022年的3000万美元减少到2023年同期的1050万美元。黑客也越来越多地归还他们窃取的资金,从被利用的项目中获得“白帽”奖励。TRM Labs估计,黑客攻击受害者在2023年拿回了将近一半的被盗资金。
TRM Labs表示,一个可能的解释是监管机构越来越关注加密货币黑客攻击和一些备受瞩目的执法案件。首先,加密货币交易所正在加强他们的KYC/AML政策,这使得兑现被盗的加密货币变得更加困难。与此同时,Tornado Cash自2022年8月以来一直受到美国制裁,该协议自动将所有与Tornado相关的资金重新列入任何受监管交易所。[2023/5/23 15:19:53]
据了解,PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。
黑客在多个Worldcoin Orb运营商的设备上安装了窃取密码的恶意软件:金色财经报道,黑客在多个Worldcoin Orb运营商的设备上安装了窃取密码的恶意软件,使他们能够完全访问Worldcoin运营商的仪表板。Worldcoin发言人Jannick Preiwisch表示,“一项内部调查得出结论,没有敏感或个人用户数据被访问或泄露。Orb操作员永远无法访问任何敏感数据,并且任何生物识别数据捕获在静态和传输中都是加密的。”
Preiwisch补充说,“我们认真对待有关我们系统安全性和完整性的任何和所有索赔,并在收到对此类问题的询问后立即进行调查,出于“高度谨慎”,该公司已重置Worldcoin运营商的所有登录信息,并加快了Worldcoin运营商应用程序2FA的推出。”[2023/5/13 15:00:27]
黑客如何狂揽6.1亿美元?
PeckShield「派盾」简述攻击过程:
跨链桥黑客在过去两年里造成大约25亿美元损失:金色财经报道,根据Token Terminal的报告,跨链桥是50% DeFi漏洞的受害者。在过去的两年里,黑客利用漏洞窃取了大约25亿美元。同一时期DeFi贷款黑客攻击造成7.18亿美元损失,DEX黑客攻击造成3.62亿美元损失。
与2021年同期相比,2022年上半年,利用跨链桥的盗窃行为增加了58%。[2022/12/30 22:16:43]
PolyNetwork中有一特权合约EthCrossChainManager,此合约主要用于触发来自其他链的信息。
加密黑客在2022年上半年洗劫20亿美元资产:金色财经报道,根据Atlas VPN团队分析的数据,自2022年1月1日以来,网络犯罪分子已经成功地从175个加密货币项目中洗劫了19.7亿美元。主要受害者是ETH生态系统,该系统在32次黑客攻击中损失了超过10亿美元。(Finbold)[2022/7/6 1:53:52]
在跨链交易中,任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易,这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数_executeCrossChainTx,即目标合约。
此次攻击事件源于PolyNetwork允许调用目标合约,但在此过程中没有限制用户调用EthCrossChainData合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。
动态 | 白猫黑客在2周内修复了加密货币相关公司的20个安全漏洞:据thenextweb报道,根据HackerOne数据,在过去两周(3月14日至28日期间)白帽黑客在七家加密货币相关公司发现了20个软件漏洞,这些公司向白帽黑客发放了至少7400美元的奖励。其中,Omise提交了八份漏洞报告;Crypto.com和Augur各提交了三份;Monero向白帽黑客支付了两次修补费用;ICON处理了一个补丁;Stellar修复了一个漏洞;Robinhood为两个安全修复程序颁发了漏洞奖励。[2019/3/29]
由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约,来蒙混onlyOwner的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。
接下来,攻击者离得手只有一步之遥,PolyNetwork的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约C所示。?
黑客在线演绎花式DeFi出金
8月10日晚20:38PM,PolyNetwork官方在推特上公布攻击事件,并表示,为追回被盗资产,PolyNetwork将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。
中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币USDT的发行方Tether响应极为快速,直接冻结攻击黑客以太坊地址中3,300万USDT。
虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式DeFi玩法快速混币,从这一点也可以看出,攻击者是个DeFi高阶玩家。
据PeckShield追踪显示,他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性,又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性;很快,攻击者移除在Curve的流动性,全部兑换为DAI,以防被冻。
年度大戏:吃瓜群众频支招黑客欲还所盗资产
一方面,PolyNetwork在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的USDT,你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH;眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。
就在各关联方进退无门之时,黑客在区块高度13001578和区块高度13001573中留言表示,准备归还部分资产。在PolyNetwork提供多签钱包几个小时后,PeckShield追踪到黑客开始在Polygon上归还部分USDC,PeckShield将持续关注和追踪相关资产流转情况。
据PeckShield统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾6.4亿美元,占总损失44.5%。
为何跨链桥频遭攻击?
PeckShield观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的PolyNetwork,跨链资产转移的规模已经超过100亿美元,超过22万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。
PeckShield建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。
在数字货币投资者中,说起“钓鱼”欺诈,很多朋友都不会陌生。2020年2月,据金色财经报道,有数字货币投资者在社区表示,有账号在空投Voice代币,但其中memo出现的网站为钓鱼网站.
1900/1/1 0:00:00原标题:《价值投资在币圈真的管用吗?》研究机构:MintVentures在各个中文的加密投资聊天群里,“价值投资”常常是一个梗一样的存在,人们往往用它来进行自嘲,当投资者被套牢时.
1900/1/1 0:00:00头条▌iBox发行经典国画NFT,上线即售罄据iBox官方消息,iBox联合搜云科技发行当代十大著名画家作品.
1900/1/1 0:00:00“入秋后傍晚总是下雨,是时候组一个麻辣火锅局了!”近日,下班路上,海口市民尤佳与同行好友边走边聊。两人道别不久,尤佳掏出手机准备叫车,突然发现一条信息静静地躺在浮窗里.
1900/1/1 0:00:008月初中国人民银行召开2021年下半年工作会议,在谈到深化重点领域金融改革时,会议提出稳妥推进数字人民币研发试点。此前,中国人民银行数字人民币研发工作组发布中国数字人民币的研发进展白皮书.
1900/1/1 0:00:00据bitcoin.com消息指出,巴西联邦在全国范围启动合规行动,以打击与加密货币相关的活动。合规行动脱胎于2018年启动的调查,在互联网上锁定了一系列与加密货币相关的犯罪.
1900/1/1 0:00:00